Performance
Produktübergreifende Nutzerverwaltung für alle
Ordnung in die Nutzer bringen
Fast wöchentlich bekommen wir im Analytics-Team eine Mail wie die folgende:
Lieber Philipp,
schickst du bitte meinen Kollegen „Max Mustermann“ die Zugangsdaten zu unserem Google Analytics.
Vielen Dank!
Im Folgenden möchte ich erklären, warum das so nicht machbar ist, wie die Zugriffe auf Google-Produkte ablaufen und welche Stolperfallen auf dem Weg zu einem komfortabel, doch trotzdem datenschutztechnisch einwandfrei bedienbaren System warten. Und natürlich, wie diese bewältigt werden.
Doch beginnen wir bei den Basics. Der Grund, warum die Anfrage oben nicht umsetzbar ist, ist ganz einfach: Google Analytics kennt keine Zugangsdaten, vielmehr kennt es Zugangsberechtigungen, und diese Berechtigungen werden an Google-Accounts vergeben.
Ein Google-Account ist im weitesten Sinne eine x-beliebige Mail-Adresse, auf die man selber Zugriff haben muss. Diese Adresse ist sozusagen der Benutzername, mit dem man sich bei Google registriert und dazu gehört ein persönliches Passwort. Man kann mit diesem Google-Account alle Produkte von Google nutzen, von Google AdWords, Google Analytics über Google Maps, Google Groups, selbst die neuen Systeme wie Google Home lassen sich damit verknüpfen.
Vielleicht vermisst jemand den Google-Dienst Google Mail – gut aufgepasst. Gmail ist ein Sonderfall. Denn für die Nutzung von Gmail benötigt man auch eine Gmail-Mail-Adresse, diese enden mit @gmail.com oder @googlemail.com.
Ist man noch nicht Besitzer einen Google-Accounts, erstellt sich also mit seiner Firmen- Mail-Adresse einen unter https://accounts.google.com/SignUpWithoutGmail.
Diesen Google-Account kann ein Kollege mit entsprechenden Berechtigungen nun zum Beispiel in Google Analytics hinterlegen, und Kollege Max hat fortan Zugriff auf die Daten. Er loggt sich dabei mit max.mustermann@gmbh.de und seinem eigenen Passwort ein.
Der Haken: Google möchte natürlich, dass man auch seinen Mail -Dienst nutzt, und sorgt daher bei der Anmeldung dafür, dass man leichter eine Gmail-Adresse erstellen als seine bestehende nutzen kann. Sucht man nämlich nach der Seite, um einen Account zu erstellen, dann sieht der erst einmal so aus:
Kollege Mustermann hat also eine Gmail-Mail-Adresse erstellt: max.mustermann.gmbh@gmail.com.
Das ist ein Google-Account wie der andere auch, aber alle Mail-Korrespondenz läuft fortan in Gmail ein und nicht im Outlook-Postfach von Max. Da er sehr wahrscheinlich nicht in Gmail reinschaut, wird er Fehlerhinweise, Verknüpfungsanfragen, automatisierte Reportings etc. nicht bemerken. Sie bleiben ungelesen in seinem Gmail-Postfach.
Ein weiterer großer Knackpunkt: Max hat sich in unserer GmbH verdient gemacht, wird der Teamleiter und Hauptverantwortlicher für Google Analytics (und auch alleiniger Admin darin). Er verlässt nach einigen Jahren das Unternehmen und sein Nachfolger benötigt Zugriff auf Google Analytics. Man kann nun versuchen, das Passwort von Max’ Google-Account zurückzusetzen, aber die Mails landen ja alle im Gmail-Postfach, und nicht in der Catch-All seiner ehemaligen IT. Der Zugriff auf Max’ Google-Account ist nicht möglich, und sein Nachfolger hat schlechte Karten.
Im obigen Beispiel hat Max Mustermann noch eine ordentliche, nachvollziehbare Mail-Adresse gewählt, aber Sie wollen nicht wissen, wie viele kätzchen91@gmail.com, jondoe1982@gmail.com und ähnliches ich schon in Analytics gesehen habe. Wer da dahinter steckt und Zugriff auf die wertvollsten Daten ihres Unternehmens hat, können Sie nur erahnen.
Es bleibt also festzuhalten: wenn wir jemandem Zugriff auf unser Systeme geben, dann ausschließlich auf Google-Accounts mit der Firmen-Mail-Adresse.
Merke: Es sollten keine Gmail-Adressen in den Nutzerübersichten Ihrer Google Produkte auftauchen.
Falls doch, schreiben sie die Gmail-Adressen an und bitten Sie um die Erstellung eines Google-Accounts mit der Firmen-Mail-Adresse bis zu einer bestimmten Frist. Nach Erlöschen der Frist sollten Sie die Gmail-Accounts aus den Produkten entfernen.
Die Profi-Lösung für große Unternehmen: Google 360 Suite Organisation
Natürlich wird es schwer, die Zugriffe auf zahlreiche Produkte und noch mehr Konten in jedes der Produkte im Überblick zu behalten. Auch Google ist sich dieses Problems bewusst und hat eine Lösung geschaffen. Anfangs nur für die zahlenden Kunden von Google Analytics sind die 360 Suite Organisationen nun auch für kostenfreie Google Analytics Accounts freigeschalten worden. Damit hat man eine Übersicht über die Produkte der Google Analytics Suite:
Google Analytics
Google Tag Manager
Google Optimize
Google DataStudio
Google Attribution
Google Surveys
Google Audience Center
Eine Erweiterung auf andere Google-Produkte ist nicht ausgeschlossen.
Alle Produkt-Accounts, die mit der Organisation verknüpft sind, können über diese höhere Ebene verwaltet werden. Man kann hier Nutzer komplett entfernen, Nutzungsstatistiken abrufen und (für zahlende Kunden) die 360 Features aktivieren. Wie Organisationen erstellt werden, erklärt Google in einem Helpcenter-Artikel.
Hat man seine Organisation erstellt, alle Produkt-Konten damit verknüpft und bestätigt, dann ermöglicht die Oberfläche die bequeme Verwaltung von Nutzern, inklusive One-Click-Entfernen ehemaliger Mitarbeiter.
Die mächtigste Funktion in meinen Augen aber ist die Einstellung der Nutzerrichtlinien. Um beim obigen Beispiel zu bleiben, tragen wir hier bei den erlaubten Mail-Domains nur
@gmbh.de (als Wildcard für alle Mitarbeiter des Unternehmens)
@udg.de (der Dienstleister soll ja auch berechtigt sein)
Wichtig: Hierbei handelt es sich nur um die Richtlinie, nicht um eine tatsächliche Berechtigung. Was aber passiert ist, dass von nun an in der Nutzerübersicht bei allen Nutzern, die diese Richtlinie verletzen, ein rotes Ausrufezeichen erscheint. Wir können also komfortabel erkennen, wer unsere Richtlinien verletzt und diese Nutzer gezielt anschreiben oder en block entfernen.
